La distribution Tails, spécialisée dans l’anonymat, comporte des failles 0-day
Avec de vrais morceaux de gentils méchants
Le 24 juillet 2014 à 14h40
5 min
Logiciel
Logiciel
La distribution Tails Linux, axée sur la sécurité, contiendrait plusieurs failles de sécurité 0-day qui exposeraient les données de l’utilisateur. Un vrai problème pour le chercheur Loc Nguyen, qui a fait la découverte, puisque ce système se veut justement nettement plus sécurisé que la moyenne.
Des failles critiques dans une distribution spécialisée dans la sécurité
Anonymat et confidentialité : tels sont les deux maitres mots qui gouvernent le développement de la distribution Tails. Basée sur Debian, elle fonctionne idéalement depuis une clé USB ou un DVD de type « live », qui peut donc démarrer depuis n’importe quelle machine. L’orientation de la distribution est simple : ne laisser aucune trace sur ladite machine, à moins que l’utilisateur l’ait expressément demandé.
Tails se sert d’un nombre important de composants pour rendre anonymes autant que possible les échanges d’informations. La distribution est disponible en version 1.1 depuis deux jours seulement et ses utilisateurs sont de fait des habitués de Tor, l’un des éléments clés de l’ensemble. La distribution n’était pas nécessairement très connue du grand public, mais il existe une attraction beaucoup plus forte depuis moins d’un an. Une visibilité née dans le sillage de l’affaire Snowden : quand un article de The Guardian l’a conseillée pour laisser le moins de traces possible, puis quand le site allemand Tagesschau a indiqué que la NSA marquait comme « suspects » tous ceux qui se renseignaient sur elle et Tor en se rendant sur les sites officiels.
Entre en piste la société Exodus Intelligence. L’un des chercheurs, Loc Nguyen, a averti The Register que Tails contenait un nombre indéterminé de failles critiques et de type 0-day. En d’autres termes, ces failles sont déjà exploitées, ou sont exploitables n'importe quand. Il explique qu’Exodus a été « très impressionné » par le travail réalisé par les développeurs de Tails. Mais dans son efficacité résiderait une faiblesse intrinsèque : le nombre de composants qui communiquent entre eux est tellement élevé que toutes les interactions n’ont pas été soigneusement vérifiées.
Une entreprise chercheuse de failles 0-day
Pourquoi le dire maintenant ? C’est là que les choses se corsent. Car Exodus Intelligence n’est pas une entreprise comme les autres : elle opère dans le monde du renseignement, comme son nom l’indique. Or, l’entreprise révèle que Tails comporte des failles 0-day… pour mieux indiquer qu’elle les avait découvertes et qu’elles étaient « toujours efficaces », même avec l’arrivée de la mouture 1.1 il y a deux jours.
We're happy to see that TAILS 1.1 is being released tomorrow. Our multiple RCE/de-anonymization zero-days are still effective. #tails #tor
— Exodus Intelligence (@ExodusIntel) 21 Juillet 2014
Exodus Intelligence est spécialisée dans la traque de ce genre de faille, son activité commerciale consistant à les revendre ensuite à ses clients. Parmi ces derniers se trouvent le département américain de la Défense ou encore la DARPA (Defense Advanced Research Projects Agency). Cependant, comme précisé à The Register également, l’entreprise n’a pas donné les failles de Tails à ses clients. Elle a en effet décidé de travailler directement avec l’équipe de la distribution.
« aucune solution ne peut garantir un anonymat en ligne »
Mais alors pourquoi revendiquer la possession de ces informations cruciales si ce n’est pas pour faire fructifier ses découvertes ? Selon Loc Nguyen, il ne s’agit pas d’une question d’image, mais d’avertissement : « Nous avons annoncé le fait que nous avions la capacité de diffuser le message à la communauté qu’aucune solution ne peut garantir un anonymat en ligne ».
Même si les choses devraient donc s’arranger pour Tails, dont la sécurité devrait grimper en conséquence, le message d’Exodus rejoint trait pour trait les avertissements lancés par l’expert Andy Malone, qui expliquait déjà en mai que même si la sécurité globale du réseau Tor n’avait pas été brisée, il existait des failles de sécurité qui pouvaient provoquer des fuites d’informations. Pour lui, résumer la situation était très simple : « L’anonymat sur internet, ça n’existe pas. S’ils vous veulent, ils vous auront ».
L'équipe de Tails satisfaite de l'attitude d'Exodus
Quant à l’équipe de Tails, elle a réagi elle aussi. Dans un billet publié hier après-midi, elle indique qu’elle avait rédigé une première réponse quand elle avait vu le tweet publié par Exodus, car l’entreprise ne les avait pas contactés. Mais Exodus a bien pris contact et a fait deux promesses : que tous les détails seraient fournis dans la semaine qui suivrait, et qu’ils ne seraient donnés à aucun autre tiers.
L’équipe annonce être satisfaite de l’attitude d’Exodus, même si l’on se doute qu’elle attend les informations réelles pour être soulagée. Après quoi il lui faudra travailler très rapidement pour s’assurer que les brèches seront colmatées au plus vite, sans parler de la diffusion des correctifs chez les utilisateurs. Ceux qui utilisent des DVD devront impérativement graver la nouvelle version. L’équipe indique par ailleurs que de gros travaux de renforcement de la sécurité sont en cours, notamment une intégration très poussée d’AppArmor, une meilleure sécurisation du noyau et de la navigation web, ou encore l’utilisation plus intensive du sandboxing (isolation de processus dans des compartiments mémoire isolés).
La distribution Tails, spécialisée dans l’anonymat, comporte des failles 0-day
-
Des failles critiques dans une distribution spécialisée dans la sécurité
-
Une entreprise chercheuse de failles 0-day
-
« aucune solution ne peut garantir un anonymat en ligne »
-
L'équipe de Tails satisfaite de l'attitude d'Exodus
Commentaires (50)
Vous devez être abonné pour pouvoir commenter.
Déjà abonné ? Se connecter
Abonnez-vousLe 24/07/2014 à 14h54
Bon bin on va attendre la prochaine version " />
Le 24/07/2014 à 15h01
En même temps quelqu’un pense vraiment qu’il est possible d’avoir un système 100% sécurisé ? (à part les possesseurs de mac " /> )
Que ce soit sur Tails ou n’importe quel OS il y a des failles et il y en aura toujours.
Le 24/07/2014 à 15h07
Le 24/07/2014 à 15h08
Mais ces fails ne concerne pas que Tails mais toutes les distributions utilisant les même paquets non ?
Le 24/07/2014 à 15h15
Le 24/07/2014 à 15h18
Le 24/07/2014 à 15h24
Ces derniers temps, j’ai l’impression que l’on trouve pas mal de failles de sécurités dans les logiciels open source non?
Et ce ne sont que celles que leur chercheurs ont bien voulus annoncer.
Le 24/07/2014 à 15h29
Le 24/07/2014 à 15h30
Le 24/07/2014 à 16h02
Modifié le 09/12/2024 à 20h32
Le 24/07/2014 à 16h35
Le 25/07/2014 à 12h49
Le 25/07/2014 à 12h49
Le 25/07/2014 à 13h35
Le 25/07/2014 à 13h38
Le 25/07/2014 à 13h40
Le 25/07/2014 à 16h52
Le 25/07/2014 à 07h33
Le 25/07/2014 à 07h38
Le 25/07/2014 à 07h43
L’un des chercheurs, Loc Nguyen, a averti The Register que Tails contenait un nombre indéterminé de failles critiques et de type 0-day.
J’ai peur " />
J’en connais bien une de faille critique déterminée qui touche toutes les distributions, systemd.
Le 25/07/2014 à 07h57
Le 25/07/2014 à 08h02
Le 25/07/2014 à 09h03
Le 25/07/2014 à 09h27
Le 25/07/2014 à 09h58
Le 25/07/2014 à 10h16
Le 25/07/2014 à 11h29
Le 25/07/2014 à 11h40
Le 25/07/2014 à 11h55
Le 25/07/2014 à 12h13
Le 25/07/2014 à 12h14
Le 25/07/2014 à 12h16
Le 25/07/2014 à 12h35
Le 24/07/2014 à 16h49
Le 24/07/2014 à 16h55
Avec de vrais morceaux de gentils méchants
" /> " />
" />
Le 24/07/2014 à 16h56
Le 24/07/2014 à 17h04
Le 24/07/2014 à 17h15
Ils en sont où sinon la NSA avec le courrier postal… finalement, c’est ptet ce qu’il y a de plus secure au final… si on n’est pas déjà ciblé bien entendu.
Le 24/07/2014 à 17h29
>« L’anonymat sur internet, ça n’existe pas. S’ils vous veulent, ils vous auront ».
Ce n’est pas mon avis.
Il suffit de ne pas utiliser sa connexion internet pour avoir un total anonymat.
Le 24/07/2014 à 17h51
Le 24/07/2014 à 18h39
NSA: “Exodus Intelligence, FUDer moi Tails à mort, que plus personne s’en serve.
On est prêt à coincer Snowden dont l’immunité en Russie est finie et qui s’apprête à partir. Donc black-outer moi ce merdier une semaine qu’on le coince enfin.”
Exodus: “Vous avez pas peur que Zeurf vire parano, encore?”
NSA: “OSEF de ce con”
Exodus: “OK alors”
Le 24/07/2014 à 19h15
Le 24/07/2014 à 19h29
A propos de sécurité et de Linux, GNOME s’oriente vers des applications sandboxées avec des droits limités, et une intégration sympa avec l’environnement. L’article qui détaille leur approche est ici :http://blogs.gnome.org/aday/2014/07/23/sandboxed-applications-for-gnome-part-2/
C’est un peu dommage qu’ils travaillent sur ça dans leur coin, à mon avis ce genre de réflexion devrait être mené au niveau de FreeDesktop et pas de GNOME, mais leur approche est intéressante. Faire en sorte que l’interface à laquelle l’utilisateur est confronté parle plutôt de vie privée plutôt que du concept flou de vie privé est intéressant. Et demander les autorisations au moment où l’application en a besoin plutôt qu’à l’installation, c’est clairement une amélioration par rapport à ce qui peut exister sous Android par exemple. Par contre, c’est encore un pas en arrière pour l’utilisation des applications GNOME dans un autre environnement. Ubuntu va vraiment devoir développer son propre environnement et abandonner ses dépendances à GNOME.
Le 24/07/2014 à 19h38
Le 24/07/2014 à 20h40
Le 24/07/2014 à 21h38
Le 24/07/2014 à 22h44
Le 24/07/2014 à 22h58
Le 25/07/2014 à 06h55